vlan tagging در سوییچ سیسکو
سلام
در طراحی شبکه ای که دارم 10 طبقه دارم که هر کدوم یک سوییچ لایه دو ای manageable دی لینک از نوع dgs 1210 دارم و روشون با vlan میخوام کاری کنم که هیچ پورتی هم دیگر رو نبینند ودر قسمت core این سوییچ ها همه به یک سوییچ سیسکو از نوع catalyst 3850 24t s دارم که باز روی اونم میخوام vlan بندی کنم تا هر کدوم از سوییچ ها هم نبینند ولی مشکلی که هست دیگه اینها firewall رو نمیدبییند و باید به فایروال 10 تا vlan معرفی کنم که مدیریت در فایروال رو مشکل میکنه .
ایا راهی هست که پکت ها از سوییچ طبقات به سوییچ core میاییند tag vlan آنها رو عوض کنیم و یک tag واحد برای همه پکت ها که از همه سوییچ ها میاید قرارد دهد و با آن tag به سمت فایروال بفرسته
مفاهیم private vlan و private vlan edge و vlan mapping رو هم بررسی کردم متاستفانه سوییچ سیسکو vlan mapping نمیفهمه و private vlan هم نداره :(
عذر خواهی میکنم برای بیان بدم . به طور کلی سناریو بنده به اینه که هیچ نودی همو نبینند و ایزوله باشند ولی در شرایط خاصی بشه بعضی نود ها به هم وصل و بعد دوباره قطعشون کنیم و همه فقط فایروال رو ببینند و از طریق فایروال مسیر بعدی مشخص شود .
4 پاسخ
نمیخوام همه ی طبقات رو یک vlan باشند . میخوام هر طبقه یک vlan مجزا باشند و ولی همه پورت فایروال رو ببنند.
مشکل اینجاست در فایروال به تعداد ویلن به من اینترفیس نشون میده که کار مدیریت فایروال رو سخت میکنه.
فایروالم هم pfsense هست
سلام . بیشتر از نوع ارتباط سوئیچ های طبقات به سوئیچ کور و سوئیچ کور به فایروال توضیح میدادید ...
فرض : اگر هر سوئیچ از طبقات با یک کابل شبکه به یک پورت سوئیچ کور وصل باشند .. و یک پورت سوئیچ کور به فایروال متصل باشه ... شما باید در فایروال و روی اون اینترفیس که به سوئیچ کور خورده vlan های مورد نیاز خودت رو بسازی .. حتی میتونی برای سوئیچ ها vlan مجزا تعریف کنی .... بعد میای روی هر vlan آی پی مخصوص به نتورک رو ست میکنی که میشه گیتوی کلاینتها و سوئیچ ها ...
روی پورت سوئیچ کور که به فایروال خورده ترانک رو کانفیگ میکنی ( یا ترانک All و یا ترانک Allow vlan add ) ... و 1- هر پورت سوئیچ کور که به سوئیچ های طبقات خورده رو ( اگر هر طبقه کلاینتهاش در یک vlan هستند ) بصورت اکسس در ویلن همون طبقه کانفیگ میکنی ... 2- هر پورت سوئیچ کور که به طبقات خورده اگر چند تا ویلن باید رد بشه رو ترانک تعریف میکنی ... و روی پورت متصل به سوئیچ طبقات vlan ها رو بصورت Tag--Egress تعریف میکنی و پورت های دیگه اش که اکسس هستند رو UnTag--Egress کانفیگ میکنی ... در ضمن اگر باید همه از فایروال رد بشن و اینترنت داشت هباشند .. دیفالت گیتوی فایروال میشه مودم ADSl و هر چیز دیگه که اینترنت رو تامین میکنه ...
این توضیحات کلی بود ... باز هم با توجه به طراحی ساختار شبکه ممکنه که کانفیگ تغییر بکنه ...
بله میشه ... شما باید برای همه طبقات ( کلاینتها و سوئیچ ) یک ویلن در فایروال بسازی .. اون رو ترانک کانفیگ کنی رو پورت اتصالی کور به فایروال .. و بعد هر کدوم از پورت های کور که به طبقات متصل هستند رو اکسس اون ویلن بزاری ...
اینطوری همه طبقات در یک ویلن قرار میگیرند ... از طرفی از نظر اصول طراحی شبکه این کار عاقلانه نیست ... که همه همیدیگه رو ببیند و در یک ویلن باشند ... این دیگه با یک سوئیچ اکسس ساده فرقی نمیکنه
ممنون از جواب شما دوست عزیز
ولی مشکل منم تو همینه . دقیقا همینکارو کردم اینطوری به ازای هر vlan که در سناریو من هست میشه حدود 100 تا vlan که باید به ازای هر کدام یک virtual interface در فایروال اضافه کنم و که اینطوری 100 تا اینترفیس دارم و این اصولی و تر و تمیز نیست .
راهی هست که همه vlan های طبقات در core switch یک vlan شه و با یک تگ vlan به اینترفیس فایروال برود